Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{A8496A94-1D87-8EF9-C17C-D3259A56CCBA}] 'StubPath' = '<SYSTEM32>\cmd.exe /c <SYSTEM32>\dsdmoprp.exe /i'
- [<HKLM>\SOFTWARE\Classes\ShockwaveFlash.ShockwaveFlash\shell\open\command] '' = '<Полный путь к вирусу> %1'
- <SYSTEM32>\dsdmo.exe
- <SYSTEM32>\dsdmoprp.exe
- <SYSTEM32>\reg.exe delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{A8496A94-1D87-8EF9-C17C-D3259A56CCBA}" /f
- <SYSTEM32>\ntvdm.exe -f -i1
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\_Setup.bat
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A8496A94-1D87-8EF9-C17C-D3259A56CCBA}" /v StubPath /t REG_SZ /d "<SYSTEM32>\cmd.exe /c <SYSTEM32>\dsdmoprp.exe /i" /f
- <SYSTEM32>\dskquota.exe
- <SYSTEM32>\dsquery.nls
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- <SYSTEM32>\dsdmo.exe
- <SYSTEM32>\_Setup.bat
- <SYSTEM32>\c_l6003.nls
- <SYSTEM32>\dsound3d.nls
- <SYSTEM32>\dsdmoprp.exe
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- '<IP-адрес в локальной сети>':80
- 'qw###.homelinux.com':80
- <IP-адрес в локальной сети>
- qw###.homelinux.com/config.asp?id#########
- DNS ASK qw###.homelinux.com
- '<IP-адрес в локальной сети>':1035
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bb8.bc0.390001'
- ClassName: 'Shell_TrayWnd' WindowName: ''